Einfaches und sicheres Single Sign-on in SAP

Centrify´s Identity Service bietet einfaches und sicheres Single Sign-on in SAP Applikationen. Das erspart dem Nutzer das Merken und Eingeben seiner SAP ID, sichert aber gleichzeitig den Logon Prozess, da bei der angewandten Methode keine „Passwörter“ mehr verwendet werden. Stattdessen werden tokenbasierte Authentifizierungsverfahren genutzt: Bei Zugriff auf SAP Anwendungen über SAP Web GUIs (z.B. SAP Netweaver Java oder SAP Netweaver ABAP) der Federation Standard SAML 2.0, bei Verwendung des klassischen Windows Clients für SAP ABAP wird SNC und Kerberos verwendet.

Centrify´s Identity Service ist ein in Microsoft Azure Public Cloud gehosteter Service, über den Benutzer Zugriff auf ihre SSO Applikationen erlangen. Klassischerweise befinden sich im Portal des Nutzers Applikationen, die von einem Administrator des Cloud Mandanten aufgrund von Rollenzugehörigkeiten an den Nutzer deployed wurden. So ist jedes Nutzerportal individuell auf die Bedürfnisse – also die benötigten Anwendungen – eines Benutzers zugeschnitten und der Zugriff auf die „Business“ Applikationen durch das Unternehmen administrierbar. Hierbei unterstützt der Centrify Identity Service die üblichen Federation Standards wie SAML 2.0, OpenID Connect oder WS-Federation. Der Administrator kann also sicherstellen, dass der Zugriff eines Benutzers via SSO durch eine tokenbasierte, also passwortlose Authentifizierung erfolgt.

Die initiale Authentifizierung des Benutzers gegen das Portal kann dabei entweder über ein lokales Active Directory oder LDAP oder ebenfalls über die Cloud passieren, beispielsweise gegen ein Google Directory oder das Cloud Directory, welches Bestandteil der Centrify Identity Service Lösung ist.

Befindet sich der Benutzer dann in seinem Portal, so ist er bereits sicher authentifiziert (gegebenenfalls sogar zusätzlich mit Multifaktorauthentifizierung) und findet dort nun seine Anwendungen vor, die er lediglich „anklicken“ muss, um dort ohne weitere Credentials eingeloggt zu werden.

Hier als erstes Beispiel der Zugriff auf SAP Netweaver Java:

1

Klickt der Benutzer auf das Symbol in der untersten Reihe seines Portals, so wird er direkt ohne weitere – für ihn erkennbare – Authentifizierung eingeloggt:

2

Selbstverständlich wird die Authentifizierung im Hintergrund durchgeführt. Es existiert ein Federation Trust zwischen dem Cloud Mandanten des Nutzers (d.h. seines Unternehmens) als Identity Provider und der SAP Netweaver Installation als Service Provider – via SAML 2.0.

Die Federation kann im Admin Portal des Centrify Identity Service Mandanten einfach eingerichtet werden: Es werden lediglich die SAML 2.0 Konfigurationsdaten des Service Providers benötigt, die sich aus der SAP Netweaver Installation auslesen lassen. Hier ein Beispiel aus einem Centrify Identity Service Admin Portal:

3

Die gleiche Authentifizierungsmethode kann auch für den Zugriff über das SAP Netweaver ABAP GUI verwendet werden, auch hier findet der Benutzer nach initialer Authentifizierung gegen sein Benutzerportal ein Icon vor, auf das er lediglich klicken muss, um dann – im Hintergrund authentifiziert – unter seiner Applikations-ID auf die Anwendung zuzugreifen.

Was aber nun, wenn der Zugriff auf SAP nicht über eine Web Applikation erfolgt oder SAML 2.0 als Federation Standard von der eigenen SAP Installation nicht unterstützt wird?

Auch bei Verwendung des „klassischen“ SAP Windows GUI für ABAP kann Centrify dafür sorgen, dass der Benutzer Single Sign-on verwenden kann. Empfehlenswert ist dabei ebenfalls ein Einstieg über das Portal, aber notwendig ist es nicht.

Hier nun die Vorgehensweise dabei: Nach der Authentifizierung des Benutzers gegen sein Portal via AD/LDAP/Google Directory nutzt er einen Link im Portal, der ihm eine Remote Session auf einem Windows Server eröffnet und ihn dort automatisch unter seinem Benutzernamen einloggt. Auf dem Desktop findet er einen Link zum SAP Windows GUI:

4

 

5

Von hier aus kann er dann ein SAP Logon Profil nutzen, welches entsprechend („SSO“) gekennzeichnet wurde:

6

Ein Doppelklick auf dieses Logon Profil loggt den Benutzer direkt unter seiner SAP ID ein, ohne dass er hierzu noch einmal SAP und Passwort eingeben muss:

7

Obwohl auch dieser Weg für den Benutzer wie „nahtloses“ SSO aussieht, beruht er doch nicht auf einer SAML 2.0 Federation, sondern nutzt Kerberos Tickets zur passwortlosen Authentifizierung auf dem SAP Applikationsserver. Hierbei ist es übrigens egal, ob der Applikationsserver ein Windows Server in der gleichen Domäne ist, in der auch der KDC implementiert ist oder ob der Applikationsserver unter Unix/Linux läuft. Centrify bietet über eine AD Bridging Lösung eine Möglichkeit, auf einem Nicht-Windows System auf Kerberos Tickets zuzugreifen, die aus einem Key Distribution Center in einer Windows Domäne stammen.

Der Benutzer wird im obigen Beispiel über eine remote SSH Session auf dem Windows Server eingeloggt, der im Idealfall Member in der gleichen Domäne ist, gegen die sich der Benutzer bereits initial authentifiziert hat. Somit reicht in diesem Fall die initiale Authentifizierung für die Nutzung von SSO auch beim SAP Windows Client aus.

Selbstverständlich ist die gerade beschriebene Lösung auch ohne das Centrify Identity Service Portal möglich: Um für den Benutzer „nahtloses“ SSO zu erreichen müsste sich dieser zunächst beim Windows Logon an der Domäne authentifizieren und könnte dann auf das SAP Windows GUI (bei gleichem Setting wie oben beschrieben) zugreifen. Aber auch die Nutzung der SAML 2.0 basierten SSO Konfigurationen für SAP Netweaver ABAP oder Java wären so denkbar: Hier kann dann mit Hilfe der Integrated Windows Authentication eine tokenbasierte SAML 2.0 Authentifizierung gegen den Cloud Mandanten des Nutzers durchgeführt werden, wie folgendes Beispiel zeigt (SAP ABAP Web GUI):

8

10

Der folgende Screenshot zeigt, dass auch ein korrektes Mapping zur SAP User ID stattgefunden hat:

11

Das gleiche nahtlose Login funktioniert auch beim Desktop Link für SAP Netweaver Java:

9

Egal, für welches SAP GUI sich der Centrify Kunde entscheidet: Centrify stellt sicher, daß Single Sign-on in die SAP Anwendung möglich ist. Das vereinfacht das Leben des Nutzers, für den seine SAP ID und das dazugehörige Passwort sehr wahrscheinlich eine von vielen Benutzerkennungen ist, die er sich für seine tägliche Arbeit merken muss.

Und gleichzeitig vereinfacht die gezeigte Methode auch den Alltag der Administratoren, die sich nicht mehr mit Help Desk Calls aufgrund vergessener oder abgelaufener Passwörter auseinandersetzen müssen: Sowohl die SAML 2.0 Federation als auch die SNC und Kerberos verwendende Methode sind tokenbasiert, können also eine sichere Authentifizierung ganz ohne Passwörter gewährleisten.

Weitere Informationen hierzu finden Sie auch in diesem Youtube-Video: https://www.youtube.com/watch?v=2BhCjIVf4nc

Das Centrify Team zeigt Ihnen Single Sign-on in SAP gern auch einmal in einer Live Demo. Sprechen Sie uns einfach darauf an.